書籍「Laravelの教科書」Laravel13対応サポートガイド公開中 → ダウンロードはこちら

Meta(Facebook)からの「公式メール」で広告アカウントを乗っ取られる手口

Meta(Facebook)を装ったフィッシング詐欺の手口についてまとめました。実際に10時間で300万円やられた日本企業の事例も。

広告運用をしている方、Facebookビジネスアカウントを使っている方の参考になればと思います。

手口の全体像

ハッカーの最終目的は「広告費の不正利用」です。

企業のFacebookビジネスアカウントには、広告費を支払うクレジットカードが紐づいています。これを乗っ取れば、勝手に広告を出稿して、自分たちの怪しいサイトに人を誘導できる。だから個人アカウントよりビジネスアカウントが狙われやすい。

入り口は主に2パターンあります。

パターン1:フィッシングメール

「Metaからの公式っぽいメール」が届きます。しかも何度も。

メール内のURLをクリックすると、本物そっくりのMetaログイン画面に飛びます。
そこにメールアドレスとパスワードを入力させられる。入力された情報は、サーバー経由でハッカーの手元(Telegramなどのチャット)にリアルタイムで送られていく。

こちらの動画が参考になります。

the WORST phishing email i've ever seen
|| Automate and prove your security compliance with Vanta! Get ,000 off with my link to cruise through compliance across SOC 2, ISO 2...
www.youtube.com

パターン2:放置されたアカウント経由

メールが届かず、退職した社員のアカウントが使われることも。

日本の広告運用会社(Siencaさん)で、「退職した社員のFacebookアカウント」が乗っ取られて、そこから企業の広告管理画面に侵入された事例もあります。

しかもそのアカウントは二段階認証が設定されていなかった。パスワードさえ突破されれば誰でも入れる状態。

入り口がパターン1(フィッシング)でもパターン2(放置アカウント)でも、ゴールは同じ:広告費を勝手に使われる

参考URL:https://sienca.jp/blog/advertising/meta-hacked/

被害の中身

Siencaさんの記事や動画から起きたことをまとめると次のとおり:

  • 元々あった正常な広告キャンペーンをコピーされ、1日の予算を数百万円に引き上げられていた
  • 海外向けの怪しいサイトへ誘導する広告として配信されていた
  • 被害に気づいて広告を停止しても、「30分後に自動で再開するルール」が仕掛けられていてイタチごっこ
  • わずか10時間で300万円超

被害は広告費だけじゃありません。自社のFacebookページから怪しい広告が出てしまうので、企業ブランドの失墜にもつながります。

どうやってメールアドレスがバレるのか

そもそも論として、ハッカーはどうやって「広告運用担当者のメールアドレス」を手に入れるのか。

考えられるのは:

  • メールアドレスのリスト売買:ダークウェブなどで流通している
  • LinkedInなどのSNS:「私は◯◯社で広告運用をやっています」と公言していると、名前と会社ドメインから推測される(yamada@company.co.jpのような形で当たりをつけられる)
  • 過去の漏洩データ:他社サービスから漏れた情報の使い回し

広告運用者であることを公にしている時点で、ある程度ターゲットになりやすい可能性があります。

見抜き方

詐欺用のサイトでは次のような特徴があります:

  • ロゴやリンクは見た目はあるけど、ほぼハリボテでクリックしても機能しない
  • HTMLの構造をよく見ると、リンク先がおかしい
  • JavaScriptファイルの中にTelegramへの送信処理が仕込まれている

落ち着いて見ればおかしいと分かるんですが、フィッシングメールは「すぐに対応してください」「アカウントが凍結されます」といった緊急性を煽る文面で目を曇らせてくる。だから冷静になる時間を奪われる。

「急がせてくるメールはまず疑う」 という意識が大事です。

事前対策

被害にあわないためには、

1. メール内のリンクは絶対にクリックしない

ブックマークしてある公式サイトから自分でログインして確認する。これだけで多くのフィッシングは防げます。

2. 二段階認証を全員に必須化する

特にSMS認証ではなく、認証アプリ(Google AuthenticatorやAuthyなど)を使うのが安全。SMSは突破される事例があります。

3. 退職者のアカウントを必ず整理する

4. クレジットカードに利用上限を設定する

万一乗っ取られても、被害額を物理的に止められる「金融的な防火壁」になります。

被害に遭ってしまったら

  1. 即、広告を全部停止(ただし自動再開ルールが仕掛けられているケースもあるので注意)
  2. クレジットカード会社に連絡してカードを停止(これが一番効いた、と書かれていました)
  3. Metaのサポートに連絡して不正利用を申し立てる
  4. 不正利用された広告費は申し立てれば返金される事例が複数ある

返金されると分かっていても、精神的・時間的なダメージは大きいので、やっぱり予防が一番です。

さいごに

これはFacebook(Meta)に限った話ではなく、Google広告、X広告、その他あらゆるビジネスアカウントで同じ構造の被害が起きる可能性があります。

何もないうちからぜひ、対策していきましょう。

セキュリティ 攻撃と対策
生成AI研修・コンサル

生成AIを「安全に」使うための研修・セミナー

お問い合わせ

生成AIの業務活用で気になるのは、効率だけでなくセキュリティです。 実践的な活用に加え、セキュリティ対策もお伝えします。

詳細を見てみる
 

生成AIを「安全に」使うための研修・セミナー

お問い合わせ

生成AIの業務活用で気になるのは、効率だけでなくセキュリティです。 実践的な活用に加え、セキュリティ対策もお伝えします。

詳細を見てみる

Laravelの本を書きました。


ひつじが目印♪

Laravelの使い方を分かりやすく解説した本を書きました。 書店やAmazon等のオンラインショップにて販売中
最新版Laravel13対応用サポートガイド(PDF)あり

書籍の詳細を見てみる

Laravelの本書きました。


ひつじが目印♪
クリックするとamazonページへ。
最新版Laravel13対応用
サポートガイド(PDF)あり
書籍の詳細を見てみる
シェアする
Twitter始めました。
Junko
Junkoラボ
タイトルとURLをコピーしました